CVE-2024-43369 in fieldtype-richtext
Sumário
de VulDB • 31/05/2026
O tipo de campo RichText do Ibexa é um tipo de campo destinado a suportar texto formatado rich armazenado em um formato XML estruturado. Nas versões da ramificação 4.6 anteriores à 4.6.10, o validador do tipo de campo RichText utiliza uma lista negra para bloquear `javascript:` e `vbscript:` em links, a fim de prevenir XSS. Isso pode deixar outras opções expostas, e a verificação pode ser contornada usando letras maiúsculas. São necessárias permissões de edição de conteúdo para conteúdo RichText para explorar esta vulnerabilidade, o que tipicamente significa a função Editor ou superior. A correção implementa uma lista branca (allowlist), permitindo apenas protocolos de link aprovados. A nova verificação não diferencia maiúsculas de minúsculas (case insensitive). A versão 4.6.10 contém um patch para este problema. Não há workarounds conhecidos disponíveis.
If you want to get best quality of vulnerability data, you may have to visit VulDB.